Brug ikke dårlige adgangskoder, brug en adgangskodeadministrator.
Stephen Shankland/CNET
Redaktionens note: I anledning af World Password Day genudgiver CNET et udvalg af vores historier om forbedring og udskiftning af adgangskoder.
Hvis du er en af de utallige mennesker, der uforsigtigt bruger letforståelige adgangskoder eller genbruger en adgangskode til flere konti, har eksperter i cybersikkerhed en besked til dig: Det er ikke din skyld. Det er umuligt at huske en unik, kompleks adgangskode for hver enkelt konto.
Men det er præcis den slags opgaver, som computere er gode til. Derfor foreslår mange cybersikkerhedseksperter, at man bruger en password manager. Det er et softwareværktøj, der sikkert gemmer adgangskoder og automatisk udfylder dem på login-sider. De hjælper dig med at beskytte hver eneste af dine onlinekonti med en stærk adgangskode.
“Jeg anbefaler alle at bruge det,” siger Matias Woloski, der er teknologichef for autentificeringsfirmaet Auth0 og ekspert i passwordsikkerhed. “Password managers er i dag det bedste alternativ.”
Du ville sikkert have gavn af hjælp fra password manager. Det mest brugte kodeord, der er fundet i databrud, er stadig “123456”, ifølge data fra cybersikkerhedsfirmaet SplashData, og det næstmest brugte kodeord er naturligvis “password”. Den gennemsnitlige person bruger kun 13 unikke adgangskoder, og næsten en tredjedel sagde, at de kun bruger to eller tre adgangskoder til alle deres konti, ifølge en undersøgelse fra 2018 fra antivirus-softwarefirmaet McAfee.
For en bredere gennemgang kan du tjekke CNET’s dækning i denne uge om problemer med adgangskoder og løsninger som hardware-sikkerhedsnøgler, grunde til, hvorfor nogle gamle regler for valg af adgangskoder nu er forældede, og en advarende fortælling om, hvad der kan gå galt med en adgangskodeadministrator.
Du har flere muligheder for adgangskodeadministratorer. Der er dedikerede værktøjer som LastPass, BitWarden, Dashlane, Keeper og 1Password. Webbrowsere, herunder Safari, Chrome og Firefox, har også indbyggede adgangskodekontroller, der er mere begrænsede, især hvis du bruger flere browsere, men de bliver mere og mere sofistikerede.
Derimod kan adgangskodeadministratorer desværre være komplekse og fungerer ikke altid problemfrit sammen med websteder og apps. Det kan være grunden til, at kun 3 % af internetbrugerne ifølge Pew Research Institute primært benytter sig af password managers. Woloski foreslår, at du kommer i gang med hjælp fra en mere teknisk person.
Men alligevel kan password managers hjælpe dig med at navigere på internettet med langt mindre risiko. Selv om den teknologiske industri endelig er ved at komme med reelle alternativer til adgangskoder og måder at droppe dem helt og holdent, vil du stadig skulle regne med dusinvis af dem, eller hundreder, i de kommende år. Adgangskodeadministratorer kan hjælpe, selv om de ikke er perfekte
Hvad er en adgangskodeadministrator?
Password managers genererer unikke, komplekse adgangskoder for hvert enkelt websted, opbevarer dem sikkert og indtaster dem på forskellige browsere og computerenheder. Du kan bruge dem som browserudvidelser eller mobilapps, der udfylder loginsider med dit brugernavn og din adgangskode for dig.
Der er masser af fordele. For det første behøver du ikke at huske nogen adgangskoder (bortset fra adgangskoden til din adgangskodeadministrator). Det betyder, at du faktisk kan følge ubehagelige, men nyttige sikkerhedsråd, som f.eks. at du aldrig genbruger en adgangskode og altid bruger lange, komplekse adgangskoder som $ZnEk$tyMcF6K6XCGkxU3A8>uzC[B6&X.
Næst hjælper adgangskodeadministratorer med at beskytte dig mod phishing-angreb, der leder dig til bedrageriske websteder og forsøger at narre dig til at indtaste din adgangskode. Adgangskodeadministratorer tilbyder kun dine loginoplysninger, når du er på det rigtige websted.
Endeligt har mange adgangskodeadministratorer funktioner, der fortæller dig, når et websted har været udsat for et databrud. De kan også fortælle dig, hvis den adgangskode, du bruger, er blevet fundet i en bunke af stjålne brugerdata, hvilket mindst 555 millioner adgangskoder har gjort. Det er tegn på, at du skal ændre din adgangskode med det samme. Adgangskodeadministratorer kan også hjælpe dig med at finde svage eller genbrugte adgangskoder.
Skal du gemme alle dine adgangskoder ét sted?
Standardrådet har i årtier været at huske passwords, så det føles lidt forkert at opbevare dem ét sted. Og det ville selvfølgelig være forfærdeligt, hvis hackere kunne bryde ind i din adgangskodeadministrator og få adgang til alle dine konti.
Men alligevel har sikkerheden i password managers vist sig at være robust. Hackere har kun gjort begrænsede fremskridt med hensyn til at stjæle brugeroplysninger fra adgangskodeadministratorer – et brud nåede f.eks. så langt som til at kompromittere vejledningerne til LastPass’ sikkerhedsspørgsmål for brugere – men ingen kendte angreb har haft adgang til caches med faktiske adgangskoder.
Sikkert, hackere kan i sidste ende bryde denne sikkerhed, men det er meget mere sandsynligt, at de vil angribe dig med et phishing-angreb for at stjæle dine adgangskoder, siger Mark Risher, Googles chef for kontosikkerhed. Desuden begrænser brugen af en adgangskodeadministrator chancerne for, at du falder for et phishing-angreb.
Video: I en verden af dårlige adgangskoder kan en sikkerhedsnøgle være din nye bedste ven
Naturligvis skal du være forsigtig. Med alle dine passwordæg i én password manager-kurv skal du sørge for at finde en måde at huske din hovedadgangskode eller hemmelige nøgle på. Det er i orden at skrive den ned, så længe du opbevarer den et sikkert sted. Du kan også eksportere dine adgangskoder til et regneark fra tid til anden, så længe du låser det væk med kryptering (eller lægger en udskrevet kopi i en låst arkivskuffe).
Hvis du mister adgangen til din konto, skal du gennemgå processen til nulstilling af adgangskoden for alle dine andre konti, hvilket ville være en meget stor hovedpine.
Ulemper ved adgangskodeadministratorer
Du skal desværre forvente ujævnheder, når du bruger adgangskodeadministratorer. Bare det at tilføje oplysninger fra alle dine eksisterende konti til tjenesten er arbejde, selv om de fleste password managers tilbyder værktøjer til at importere data fra din browser eller andre password managers. Og det kræver ekstra skridt at aktivere din adgangskodeadministrator på din telefon.
Det største problem er måske, at nogle websteder ikke spiller godt sammen med adgangskodeadministratorer og forårsager den slags besværlige og irriterende problemer, som får dig til at smide din computer ud af vinduet.
For eksempel bemærker password managers nogle gange ikke loginfelter. Eller de kan fumle, når websteder beder om ekstra oplysninger som f.eks. en pinkode eller din yndlingsfilm.
Sommetider spiller websider ikke godt sammen med password managers.
Brett Pearce/CNET
Sværere er det, at nogle websites blokerer autofill-funktionen, hvilket forhindrer password managers i at indtaste dine loginoplysninger. En australsk bank, CommBank, råder kunderne til ikke at gemme deres bankkontooplysninger på en password manager. I en erklæring siger CommBank, at den ser værdien af password managers, men mener, at hackere vil finde måder at narre kunderne med sofistikerede phishing-metoder, hvis de bruger password managers.
“Hvad angår adgangskoder til netbank, anbefaler vi kunderne at oprette en stærk adgangskode, der er unik for hver konto, og at de ikke skriver den ned”, sagde en talsmand for selskabet. Alligevel siger sikkerhedseksperter, at dette gør det meget mere sandsynligt, at kunderne vil bruge svage eller genbrugte adgangskoder.
1Password tackler autofill-blokering ved at arbejde sammen med producenter af webbrowsere, der ønsker at få websteder til at tillade funktionen, siger Matt Davey, virksomhedens Chief Operations Officer.
“Det, de forsøger at gøre, er at tilsidesætte dem på webstedsniveau og udfylde dem automatisk alligevel”, sagde Davey om browserproducenterne. 1Password vil også kontakte websteder direkte og fortælle dem, at de bør følge med i programmet og lade deres brugere logge ind med en password manager.
Selv teknisk dygtige mennesker kæmper med friktionen ved password managers. Kimber Dowsett, en cybersikkerhedsekspert, der tidligere har hjulpet med at sikre NASA-systemer og nu arbejder som direktør for sikkerhedsteknik hos softwareinfrastrukturfirmaet Truss, blev for nylig frustreret, da hun forsøgte at logge ind på et bankwebsted. Hun var nødt til at indtaste sine loginoplysninger manuelt, fordi webstedet blokerede hendes password manager.
Der var et sidste problem: Hun kunne ikke se, om et tegn i kodeordet var tallet nul eller bogstavet O, så hun var nødt til at gætte.
“En stor del af friktionen ville blive afhjulpet, hvis app-udviklerne bare tillod automatisk udfyldning og indsættelse, så vi rent faktisk kunne bruge adgangskodeadministratorer som tiltænkt,” sagde Dowsett. “Det hjælper ikke nogen af os at kaste en skruenøgle ind i det.”
Brug af passwords mindre
Der er gode nyheder på to fronter. Den første er, at producenterne af Chrome, Safari og Firefox er ved at styrke deres egne password managers. Apple har indbygget en i iOS og aktiverer den som standard. Det er i orden at bruge disse funktioner på enheder, som du kontrollerer med en adgangskode eller biometrisk login. Desuden skulle de gøre det mere almindeligt at gemme adgangskoder digitalt og potentielt tvinge websideudviklere til at lege med funktioner som autofill og paste.
For det andet lader nye teknologier dig bruge passwords mindre. Biometri som fingeraftryk og ansigt reducerer behovet for at fremvise din adgangskode, hver gang du har adgang til en tjeneste. Single sign-on-tjenester giver dig mulighed for at logge på et websted med en anden konto, f.eks. Google, Apple eller Facebook. Du skal dog være tryg ved at dele flere oplysninger om de tjenester, du bruger, med en af disse teknologiske titaner.
For det tredje er multifaktorgodkendelse, sikkerhedsnøgler og andre godkendelsesteknologier med til at forbedre de sikkerhedsmæssige mangler ved adgangskoder. På et tidspunkt behøver du måske slet ikke at bruge passwords.
Denne innovation erstatter ikke passwords lige foreløbig, siger BigID’s administrerende direktør Dimitri Sirota, hvis firma hjælper virksomheder med at beskytte personlige oplysninger. Men den er begyndt at rydde op i adgangskodernes forrang i forhold til at holde dine konti sikre. Og det er en god ting, sagde han.
“Adgangskoder har været standarden i lang tid,” sagde Sirota. “Og en, som ingen er særlig glad for.”
Udgivet første gang den 10. marts 2020 kl. 05:00 PT.